我已将我的网站设置在具有不同域扩展名的单个网络服务器中,例如
我也有子域(IIS中的不同网站)来做后端的事情,例如。
https://admin.mybusiness.com.au
https://admin.mybusiness.co.nz
我正在寻找购买SSL证书但不太确定哪种类型最适合我的情况。
我应该购买一个支持多个子域的SSL的单个域SSL,还是应该为每个支持多个子域的SSL证书购买单独的域SSL。
答案 0 :(得分:0)
不同域扩展的SSL证书......
我不相信CA团队会向你推销像mybusiness.*和*.mybusiness.*这样的通配符。至少,你必须证明对所有可能域的控制,你可能不能这样做。
CA和浏览器聚在一起并遵守自我强加的要求。请参阅CA/B Baseline Requirements。经验法则是通配符应该显示为FQDN的最左边部分。 IETF有点邋,,但人们从CA而不是IETF购买。所以你必须播放CA / B规则。
(奇怪的是,非浏览器通过IETF规则解析,因此可以使非浏览器接受根据它们颁发的标准无效的证书。)
我应该购买一个支持多个子域的SSL的单个域SSL,
我认为您应该购买一张涵盖您控制下的适用域名的证书。您需要列出您控制下的所有域,并应用请求,将其作为DNS名称列在主题备用名称(SAN)中。 CSR可能看起来像:
不建议使用在公用名(CN)中放置DNS名称而不使用。因此你提出友好名称的原因。
如果您不介意每个域的一个证书(没有通配符),那么Starcom将免费为您提供一级证书。大多数移动和桌面浏览器都信任Startcom。他们也提供通配符,但你必须购买它们。